Обзор продукта juniper secure analytics
TRANSCRIPT
Junos Secure Analyticsобзор решения NG SIEM
Апрель 2015
Павел Живов
Senior Systems Engineer
Copyright © 2015 Juniper Networks, Inc.
Copyright © 2015 Juniper Networks, Inc.
Проблемы при сборе статистики
Переизбыток IT-информации
• Количество событий
• Разнообразие событий
• Количество и разнообразие источников
событий
Анализ данных
• Категоризация событий
• Поиск по событиям и их подробности
• Детектирование аномалий
Copyright © 2015 Juniper Networks, Inc.
Решение: Анализ событий безопасности
«Вот все Ваши события.
Изучите их и сообщите если
найдете что-нибудь
подозрительное»
Обычный Log server Secure Analytics
«Из миллиона поступивших сообщений, в первую очередь стоит
уделить внимание этому»
Copyright © 2015 Juniper Networks, Inc.
Обычный Log Server и JSA
Log Server Secure Analytics (JSA)
Устройство
безопасностиWebserver
• Веб-сервер уязвим
• Веб-сервер прислал сообщение о сбое
• Подозрительный трафик от Веб-сервера
• Атака с IP-адреса с плохой репутацией
• Атака из подозрительный страны
• События получены от других устройств
безопасности
• …
«APACHE-STRUTS-URI-CMDEXE»
Устройство
безопасности
«APACHE-STRUTS-URI-CMDEXE»
Функциональная архитектура
OS
КоммутаторыМаршрутизаторы
Сканеры
уязвимостей
Устройства
IPS/IDP Межсетевые
экраныПриложения
КОНТЕКСТ СЕТИ, АКТИВА и УЧЕТНОЙ ЗАПИСИ
КАТЕГОРИИ
НОРМАЛИЗАЦИЯ & КАТЕГОРИЗАЦИЯ
СОБЫТИЯ, ЛОГИ и FLOW
Шаблоны
соответствияОтчетность
Поиск для
расследования
НАРУШЕНИЯ
Copyright © 2015 Juniper Networks, Inc.
Что JSA умеет собирать:Сетевые события
– NetFlow v.5/8/9, IPFIX, Jflow, sFlow, Packeteer, Cisco Network Security Event Logging (NSEL), PCAP Syslog
Combination, непосредственный захват пакетов (PCAP)
Журналы безопасности:
– Syslog, WELF (WebTrends Enhanced Log file Format) Syslog, Log Extended Event Format (LEEF),
OPSEC/LEA, Security Device Event Exchange (SDEE), SNMPv2/3, Sourcefire Defense Center Estreamer,
Microsoft Security Event Log, TLS Syslog, Juniper Security Binary Log Collector Protocol, UDP Multiline Syslog,
TCP Multiline Syslog
Журналы ОС, хостов и приложений
– Java Database Connectivity (JDBC), SiteProtector protocol (IBM Proventia), Sophos Enterprise Console JDBC,
Juniper Networks NSM, Microsoft Windows Management Instrumentation (WMI), Microsoft DHCP protocol,
Microsoft Exchange Protocol, Microsoft IIS protocol, SMB Tail, EMC VMWare protocol, Oracle Database
Listener, VMware vCloud Director Protocol, IBM Tivoli Endpoint Manager SOAP,
Интеграция со сканерами уязвимостей
– Automated Vulnerability Detection System (AVDS), eEye REM, eEye Retina CS, Axis, IBM Infosphere Guardium,
SiteProtector, Security AppScan, Tivoli Endpoint Manager, McAfee Foundstone, Vulnerability Manager, nCircle
ip360, Nessus, netVigilance SecureScout, NMap, Qualys QualysGuard, Rapid7 NeXpose, Saint Corporation
SAINT, Tenable SecurityCenter, Microsoft SCCM Scanner, Juniper Profiler NSM Scanner, Positive Technologies
MaxPatrol Copyright © 2015 Juniper Networks, Inc.
Преимущества JSA NG SIEM
Категория
Доверие
Значимость
SIEM первого поколения: Правила & Сопоставление
Статисти-
ческая
корреляция
Корреляция
на основе
правил
Журналы
пользова-
телей
Подозрительные
инциденты
Хосты &
серверы
Системы
безопасности
Активы
Пассивный
мониторинг
Активный
мониторинг
уязвимостей
Профиль
атакующего
IP по
расположению
Внешние
угрозы
Сетевая
активность
Активность
VM
Активность
пользователейАктивность
приложений
Поведение
сети
Поведение
приложений
История
актива
SIEM следующего поколения: Поведение & Контекст
Copyright © 2015 Juniper Networks, Inc.
Сбор логовВнутри системы отображаются как «События»
– Сообщения от различных источников
– Как правило это Syslog сообщения
Device Support Module (DSM)
– Выполняют «разбор» поступивших сообщений
– Конвертируют в стандартный формат JSA
– Исходное сообщение также сохраняется
После категоризации, данные анализируются и сохраняются
Copyright © 2015 Juniper Networks, Inc.
Сбор данных о сетевой активностиПотоки
– Netflow, Jflow, sFlow и т.д.
– Захват пакетов
– Обновляет профайлы активов
– Обнаруживает нарушение политик безопасности
– Внутри системы отображаются как «Сетевые события»
Потоки являются записями
– Коллектор поддерживает захват пакетов реального трафика
– Коллектор получает сообщения о потоках от устройств (коммутаторы и т.п.)
– Записи обрабатываются и конвертируются в «Сетевые события»
Copyright © 2015 Juniper Networks, Inc.
АктивыПрофайлы активов
– JSA создает профайл каждой системы в сети
– Получение данных для профиля путем пассивного анализа трафика (пакеты, данные xFlow)
– Получение данных для профиля путем активного сканирования узлов сканерами уязвимостей
– Отображение детального информации о сетевой узле (адреса, порты, уязвимости и прочее)
– Привязывает активность пользователей к активам
Copyright © 2015 Juniper Networks, Inc.
Поиск уязвимостей (VA)Интеграция со сканерами узлов и уязвимостей
– Сканирование по расписанию и сбор информации об узлах сети и найденных
уязвимостях
– Собранные данные обновляют профайлы активов списком найденных уязвимостей
– Правила корреляции сопоставляют информацию с данными от IDP & IPS
Copyright © 2015 Juniper Networks, Inc.
Информация об учетной записиЧто является «информацией об учетной записи»?
– Информация о хосте или пользователей, полученная из журналов (логов)
– Используется для идентификации нарушителей в случае инцидента
– Информация содержится и обновляется в профайле актива
Copyright © 2015 Juniper Networks, Inc.
ОтчетностьОтчеты
– Тысячи шаблонов отчетов «из коробки»
– Полностью настраиваемые отчеты:
создание, стили, время, данные
– Выполнение однократное или по
расписанию: ежедневно, еженедельно и
т.д.
– Шаблоны отчетов на соответствие
стандартам PCI, SOX, FISMA, GLBA &
HIPAA
– Отчеты на основе структур управления:
NIST, ISO & CoBIT
– Экспорт в PDF, HTML, RTF, XML,
Excel XLS
– Отчеты можно открывать из консоли и
отправлять по эл.почтеCopyright © 2015 Juniper Networks, Inc.
Правила корреляции– Более 150 правил «из коробки»
– Широкие возможности по созданию собственных правил
Copyright © 2015 Juniper Networks, Inc.
Правила корреляцииПравила детектирования аномалий
– Аномалии (детектирование нетипичной
активности)
– Пороговые (проверяет нахождение значения в заданных пределах)
– Поведенческие (тестирует изменение объемов событий и трафика)
Пользовательские правила
– Параметров События
– Параметров Flow
– Общее
– Параметров Нарушения (Offence)
Строительные блоки (Building Blocks)
– Правила, которые используются как
переменные в других правилах,
не генерируют никакой реакцииCopyright © 2015 Juniper Networks, Inc.
Правила корреляцииРеакции JSA в случае срабатывания правила
– Создать Нарушение
– Отправить письмо по электронной почте
– Отправить SNMP Trap*
– Отправить сообщение Syslog
– Отправить событие во внешнюю систему
– Опубликовать на внешнем IF-MAP сервере*
– Создать системное уведомление с
отображением на Главной панели
– Добавить данные в Набор Данных
– Добавить данные в Коллекцию Данных
– Изменения значений Severity, Credibility,
Relevance
– Изменение категории события
– Изменение подкатегории события
*-доступны если сделаны соответствующие системные настройки Copyright © 2015 Juniper Networks, Inc.
АвтоматизацияАвтоматизация
– Работает из коробки: более 150 правил,
900+ распознаваемых приложений
– Источники сообщений обнаруживаются автоматически
как только они начинают отправлять сообщения в
адрес JSA
– Тип источника сообщений (производитель, продукт,
протокол) определяется автоматически
– Если тип определить не удалось применяется общая
схема DSM
Обновления
– JSA автоматически обновляет схемы DSM, добавляет
новые DSM, обновляет и добавляет правила
– В случае отсутствия прямого подключения к Интернету
(или если это запрещено политикой безопасности)
обновления могут производится с внутреннего
сервера, который настраивается как AutoUpdate-
сервер
Copyright © 2015 Juniper Networks, Inc.
Приоритезация и удаление лишнего24 часа сетевой активности
2.7МБ логов
После корреляции источников данных
отображается 129 инцидентов
STRM
Инцидент – история атаки или
нарушения с полным контекстом о
сопутствующих событиях в сети,
информации об активах и
пользователях
Нарушения приоритезируются по степени
воздействия на деловые процессы
компании
Copyright © 2015 Juniper Networks, Inc.
Пример: Детектирование сложных атак
Звучит пугающе…Как узнать истинную причину?
Ответ можно получить после
пары кликов мышкой
Переполнение буфераПопытка Эксплоита обнаружена Snort
Сканирование узловОбнаружено модулем QFlow
Уязвимый узелОбнаружен сканером Nessus
Интеллектуальность информационной безопасностиКонвергенция данных о Сети, Событиях и Уязвимостях
Copyright © 2015 Juniper Networks, Inc.
Пример: Мониторинг действий пользователей
Неудачные попытки аутентификации
Возможно, пользователь просто забыл
свой пароль?
Попытка подбора пароля (Brute Force)
Множественные неудачные попытки входа
из под нескольких учетных записей
Получен доступ к узлу
Последующее получение доступа к узлу
Автоматически обнаружено JSA без какой-
либо настройки со стороны администратораCopyright © 2015 Juniper Networks, Inc.
Пример: Кастомизация поискаИспользование любого атрибута сообщений в правилах, отчетах
– Выбираем интересующий тип сообщений
Пример: Кастомизация поиска Использование любого атрибута
сообщений в правилах, отчетах
– Извлекаем свойство (Extract Property)
Пример: Кастомизация поиска Использование любого атрибута сообщений
в правилах, отчетах
– Задаем имя для свойства
– Задаем выражение поиска regexp
– Проверяем, что в сообщении Syslog
выражение regexp находит нужное значение
– Сохраняем
Пример: Кастомизация поискаИспользование любого атрибута сообщений в правилах, отчетах
– Выполняем поиск в сообщениях Syslog с группировкой по сохраненному новому свойству
Пример: Интеграция с Juniper SecIntelПоддержка RESTful API позволяет интегрироваться с внешними системами
– Подозрительная активность от хоста в недоверенной сети
Copyright © 2015 Juniper Networks, Inc.
JSAJuniper Firewall
Недовереннаясеть
Junos Space
Security Director & Spotlight Connector
Juniper IDS
Пример: Интеграция с Juniper SecIntelПоддержка RESTful API позволяет интегрироваться с внешними системами
– IDS обнаруживает подозрительную активность и извещает JSA
Copyright © 2015 Juniper Networks, Inc.
JSAJuniper Firewall
Недовереннаясеть
Junos Space
Security Director & Spotlight Connector
Juniper IDS
Пример: Интеграция с Juniper SecIntelПоддержка RESTful API позволяет интегрироваться с внешними системами
– JSA извлекает данные о Source IP и передает в Junos Space Spotlight Connector
Copyright © 2015 Juniper Networks, Inc.
JSAJuniper Firewall
Недовереннаясеть
Junos Space
Security Director & Spotlight Connector
Juniper IDS
Пример: Интеграция с Juniper SecIntelПоддержка RESTful API позволяет интегрироваться с внешними системами
– Junos Space Spotlight Connector извещает межсетевые экраны об адресе, который необходимо
заблокировать
Copyright © 2015 Juniper Networks, Inc.
JSAJuniper Firewall
Недовереннаясеть
Junos Space
Security Director & Spotlight Connector
Juniper IDS
Варианты развертывания«Все-в-одном»
JSA 5000 EP or FP
EX Series Virtual Chassis
Устройства SRX
JSA3800
Flow Data и System LogSystem Log
Copyright © 2015 Juniper Networks, Inc.
Одно устройство или виртуальная машина обеспечивают сбор логов и потоков
Весь функционал обеспечивается одним устройством или виртуальной машиной
Варианты развертыванияРаспределенное
Copyright © 2015 Juniper Networks, Inc.
JSA3800
Локальный EP/FPJSA VM
Локальная
обработка событий
JSA VM
Локальная
обработка потоков
Консоль JSA
Коллекторы событий и/или потоков размещаются в требуемых точках
Распределенный сбор информации разгружает каналы
Выделенная консоль получает агрегированную информацию от локальных коллекторов
Консоль обеспечивает единый интерфейс JSA
Данные между коллектором и консолью сжимаются. Происходит передача только мета-данных.
Коллектор продолжает сбор информации при потере связи с консолью
К консоли можно подключить 250 Event Processors
Поиск и Отчеты производятся на основе данных от всех коллекторов
Настраиваемые политики хранения позволяют хранить ценные данные (логи, потоки) дольше, чем стандартные
Все-в-одном
Макс. Events Per
Second (EPS) при
распределенном
развертывании
Макс. Flows Per
Minute (FPM)
при
распределенном
развертывании
Макс. комбо (EPS
+ FPM) при
распределенном
развертывании
Как консоль при
распределенном
развертывании
JSA
виртуальная
машина
Combo: Max 1K EPS &
50K F/min
Event: Max 1K EPS 20K 600K Нет Да
JSA3800-
BSE
Combo: Max 2.5k EPS &
50k F/min
Event: Max 5k EPS 5K 100k
2.5k EPS + 50k
FP Нет
JSA5800-
BSE
Combo: Max 5k EPS &
200k F/min
Event: Max 10k EPS 20K 600K Нет Да
JSA7500-
BSE Нет 30K 1.2M Нет Да
JSA Series Secure Analytics:производительность и масштабируемость
Copyright © 2015 Juniper Networks, Inc.
Продукты серии JSA
JSA3800
JSA5800
JSA7500
10,000 EPS
600,000
Малые и
средние
предприятия
События:
Потоки:
5000 EPS
100,000
30,000 EPS
1.2 Млн.
JSA VM
1,000 EPS
50,000
20,000 EPS
600,000
JSA EC JSA FC
JSA5800
JSA EC
JSA FC
Большие
предприятия
и
провайдеры
20,000 EPS
600,000
JSA VM
JSA VM EC
JSA VM FC
Copyright © 2015 Juniper Networks, Inc.
Высокая доступность– Возможность резервирования каждого устройства JSA (консоль,
EP, FP)
– Резервный узел синхронизирует базу данных Основного узла
– Резервное устройство кластера осуществляет мониторинг
Основного устройства и/или других узлов инсталляции
Copyright © 2015 Juniper Networks, Inc.
Juniper SRX
Основной узел
Резервный узел
Консоль JSA
VIP
данные
синхронизация
Высокая доступностьПереключение на Резервный узел в случае:
– Пропадания отклика от Основного узла
– Основной узел теряет связность с другими сетевыми узлами о чем сообщает
Резервному (Резервный узел проверяет связность и при ее наличии
переключает VIP на себя)
– Отказа интерфейса управления Основного узла
– Отказа RAID-массива Основного узла
– Отказа блока питания Основного узла
Copyright © 2015 Juniper Networks, Inc.
Основной узел Резервный узел
Неуспешные
Ping
Успешные
Ping
1 24
3Запрос Ping
Управляемый
узел
Управляемый
узел
Управляемый
узел
Высокая доступностьВарианты хранения данных:
– Использование локального RAID – данные синхронизируются
между Основным и Резервным узлами
– Использование внешнего хранилища iSCSI или NFS
Copyright © 2015 Juniper Networks, Inc.
Juniper SRX
Основной EP
Резервный EP
Консоль JSA
VIP
данные
синхронизация
iSCSI или NFS
Ключевые преимущества JSA
Уменьшение стоимости владения OPEX– Централизованный сбор событий и данных о потоках
– Работает «из коробки»
– Поддержка «из коробки» большинства производителей
Соответствие требованиям стандартов– Поставляется с предустановленными отчетами COBIT, FISMA, GLBA,
GSX-Memo22, HIPAA, NERC, PCI и SOX.
Визуализация– Поддержка графиков, панелей инструментов, отчетов для любого события
– Сбор данных о потоках позволяет действовать проактивно
Детектирование угроз– Модуль аналитики обнаруживает нарушения и аномалии
– Встроенная поддержка GeoIP и источников данных о репутации
Масштабируемость– До 7 000 000 EPS на одну консоль
– Распределенный сбор данных о событиях и потоках
Copyright © 2015 Juniper Networks, Inc.
СПАСИБО!